Версия для печати темы
Нажмите сюда для просмотра этой темы в оригинальном формате
Форум программистов > Сетевые технологии > Запеленговать сниффер


Автор: umka 11.2.2004, 11:36
У кого-нибудь есть мысли, как определить, не работает ли у кого сниффер и как с этим побороться?

Автор: man2002ua 11.2.2004, 14:24
сниффер меняет адреса функций в таблице импорта приложения на свои. Можно сохранить один-два реальных адреса и после запуска приложения - проверять, куда реально ссылается импорт

Автор: umka 11.2.2004, 15:00
Не, в смысле, удаленно. Вот есть у нас локалка, и плюс ко всему к этому smile.gif есть подозрение, что кто-то юзает сниффер. Надо найти злоумышленника =)

Метод определения уже известен - сканить сетку и смотреть у кого сетевуха в promicious mode.
Тока вот теперь вопрос - как именно это сделать?

Автор: __vi 11.2.2004, 15:16
Ага, молодцы! Шифруйте связь Ж)
Не ну хорошый сниффинг не засеч.
umka а ты случайно не в Болгарии живёш?

Автор: umka 11.2.2004, 15:38
> umka а ты случайно не в Болгарии живёш?

Случайно, в России smile.gif


> Не ну хорошый сниффинг не засеч.

Всё засеч! Если тока не сделать специальную сетевуху =)
Как говорится, .... (эээ... щас правила форума почитаю) ... во. "На каждую хитрую ж#пу найдется резвый х#й. А на каждый резвый х#й найдется ж#па с закоулками" smile.gif Надеюсь, никого не оскорбил? =))


Так кто знает, как проверить, серевуха на машине 192.168.0.? все пакеты ловит, или тока свои?

Автор: __vi 11.2.2004, 15:51
А ну я одного умку из Болгарии знаю, поэтому спросил.
Если хочеш просто, то: Проидись по всем компам физически (т.е ножками подходиш и смотриш у кого какая ж#па).

Автор: umka 11.2.2004, 16:00
да ну.. я ж во-первых не генеральный директор, чтобы ходить по всяким дизайнерам и менеждерам и кричать типа "ПРЕДЪЯВИТЬ РУКИ К ОСМОТРУ!" =)
Лучше вычислить злодея, и в корридоре с ходу в репу %)))

Вобщем, не наш это метод - ходить, да проверять, подозрение наводить. Тем боле, что сниффер можно быстро выключить. А тут программулинка будет сама раз в 5 минут всех проверять.
А как кто попадется - принимать меры.

Автор: __vi 11.2.2004, 16:04
Ну хорошо. Я где-то давно прочёл что если не правильно под линуксом что-то настроить и пустить снифер то тогда его можно засечь очень просто, но не помню как...
Я сейчас посмотрю.

Автор: __vi 11.2.2004, 16:16
Цитата

Смягчить угрозу сниффинга пакетов можно с помощью следующих средств:

    * Аутентификация. Сильные средства аутентификации являются первым способом защиты от сниффинга пакетов. Под "сильным" мы понимаем такой метод аутентификации, который трудно обойти. Примером такой аутентификации являются однократные пароли (OTP - One-Time Password). OTP - это технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. Типичным примером двухфакторной аутентификации является работа обычного банкомата, который опознает вас, во-первых, по вашей пластиковой карточке и, во-вторых, по вводимому вами ПИН-коду. Для аутентификации в системе ОТР также требуется ПИН-код и ваша личная карточка. Под "карточкой" (token) понимается аппаратное или программное средство, генерирующее (по случайному принципу) уникальный одномоментный однократный пароль. Если хакер узнает этот пароль с помощью сниффера, эта информация будет бесполезной, потому что в этот момент пароль уже будет использован и выведен из употребления. Заметим, что этот способ борьбы со сниффингом эффективен только для борьбы с перехватом паролей. Снифферы, перехватывающие другую информацию (например, сообщения электронной почты), не теряют своей эффективности.
    * Коммутируемая инфраструктура. Еще одним способом борьбы со сниффингом пакетов в вашей сетевой среде является создание коммутируемой инфраструктуры. Если, к примеру, во всей организации используется коммутируемый Ethernet, хакеры могут получить доступ только к графику, поступающему на тот порт, к которому они подключены. Коммутируемая инфраструктура не ликвидирует угрозу сниффинга, но заметно снижает ее остроту.
    * Анти-снифферы. Третий способ борьбы со сниффингом заключается в установке аппаратных или программных средств, распознающих снифферы, работающие в вашей сети. Эти средства не могут полностью ликвидировать угрозу, но, как и многие другие средства сетевой безопасности, они включаются в общую систему защиты, Так называемые "анти-снифферы" измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать "лишний" график. Одно из таких средств, поставляемых компанией LOpht Heavy Industries, называется AntiSniff.
    * Криптография. Самый эффективный способ борьбы со сниффингом пакетов не предотвращает перехвата и не распознает работу снифферов, но делает эту работу бесполезной. Если канал связи является криптографически защищенным, это значит, что хакер перехватывает не сообщение, а зашифрованный текст (то есть непонятную последовательность битов). IPSec представляет собой стандартный метод защищенной связи между устройствами с помощью протокола IP. К прочим криптографическим протоколам сетевого управления относятся протоколы SSH (Secure Shell) и SSL (Secure Socket Level).



То что тебе нужно, помоему, AntiSniff.

Автор: __vi 11.2.2004, 16:23
http://packetstormsecurity.nl/sniffers/antisniff/
или прямо
http://packetstormsecurity.nl/sniffers/antisniff/as-101.exe

Про результаты не забудь расказать.

Автор: umka 11.2.2004, 17:26
Прога - то что надо, НО ... че-то покрутил я егё, на 2-х машинах пишет при запуске "No network adapters available" =(
Nicht funziklieren ...

Нужна подобная софтина smile.gif

Автор: __vi 11.2.2004, 17:34
У меня работает, посмори доки, настройки.

Автор: umka 11.2.2004, 17:59
Не работает, хоть убей smile.gif В доках вообще ни слова

У меня на компе - встроенная сетевуха (Realtek) - не видит.
На проксе нашей - CNet и 3Com - тоже не видит ни одной.
Уж хотя бы 3Com то всем известный можно увидеть? =)))

Автор: __vi 11.2.2004, 18:03
А при компиляции может чё не так?
Ты под линуксом же?

Автор: __vi 11.2.2004, 18:05
У меня CNet и всё путём, у колеги на win98 тоже идёт.

Автор: umka 11.2.2004, 18:06
А сорцов этой штуки нету... Exe-шник же ж
И у нас тут винды везде, вообще-то =)))

Автор: __vi 11.2.2004, 18:06
Вроде это единственная прога такая.

Автор: umka 11.2.2004, 18:12
есть вариант - сделать то же самое (возможно, чуть попроще) opensource
Вы мне тока скажите, кто-нибудь, как определить promiscuous mode на удаленном компе smile.gif

Автор: __vi 11.2.2004, 18:22
Ну вот например сорс http://packetstormsecurity.nl/sniffers/antisniff/anti_sniff_researchv1.tar.gz
http://packetstormsecurity.nl/sniffers/antisniff/ есть разные сорсы.

Автор: umka 11.2.2004, 18:28
оно ж на Сях smile.gif
Си я последний раз видел в глаза лет пять назад =) А у нас тут - Delphi

Вот я ламо непальское smile.gif)

Автор: umka 11.2.2004, 19:55
Вот. Нашел-таки полтора часа спустя =)
Вот достойная софтина - Promiscuous Mode Detector
Где скачал, не помню, выкладываю временно http://files.clublife.ru/tmp/pmd.zip. (freeware)

Автор: __vi 11.2.2004, 20:33
Ну как кончит, расскажеш. Кто был, дизайнер или менеджер.

Автор: Medved 13.2.2004, 19:26
Тема перенесена из Delphi.

Автор: MuToGeN 14.2.2004, 11:09
Вот: http://forum.vingrad.ru/index.php?act=Search&f=38 и вот: http://forum.vingrad.ru/index.php?act=ST&f=38&t=16100&hl=%EC%E5%F2%EE%E4%FB+%EE%E1%ED%E0%F0%F3%E6%E5%ED%E8%FF+%F1%ED%E8%F4%F4%E5%F0%EE%E2

Автор: mutumba 15.3.2004, 14:37
тем не менее определить можно только наличие снифера... что как я понимаю не секрет...
а вот машину на которой он запущен выявить можно только если на ней сидит чисто пользователь снифера... а не нормальный дядя
Добавлено @ 14:46
promiscuous mode может быть включен на машине... которой даже в сети нет... виртуальная... а уже с нее можно считывать данные...

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)